Hvis du har brugt din webbrowser autofyld på hvert websted, du besøger, er her nogle vigtige nyheder for dig. Det har vist sig, at webbrowsere som Chrome, Safari eller andre, der understøtter multi-form autofyld, kan narre til at give dine oplysninger væk, endda kreditkortnumre, deres udløbsdatoer og CVV-koder til websteder.
Hvordan phish fungerer?
Et phishing-sted kan have synlige formularfelter eller tekstbokse til at indsamle grundlæggende oplysninger såsom brugernavn og e-mail-adresse. Derudover vil webstedet have andre formfelter konfigureret til at forblive skjult på websiden ved hjælp af negative marginer eller muligvis andre CSS-metoder. Når du bruger automatisk udfyldning til at udfylde de synlige formularfelter, får de skjulte formularfelter også deres respektive data.
Den finske web-dev og hacker Viljami Kuosmanen har opdaget denne sårbarhed. Han har også oprettet et demosite, hvor du kan se, hvordan phish fungerer. Besøg hans GitHub-projektside for mere information.
Hvis du ser på demosideens kildekode, kan du se, at de yderligere formularfelter findes på websiden, men de vises ikke på skærmen. Når du udfylder det uskyldige "Navn" tekstfelt ved hjælp af automatisk udfyldning, udfyldes de andre felter automatisk. Når du har klikket på Send, sendes hele informationen på webstedet.
Firefox er ikke sårbar, fordi den ikke understøtter multi-form autofyld. I Firefox skal du vælge hvert felt og skrive startbrevet, eller dobbeltklikke på feltet, eller tryk på pil ned og klikke på et af elementerne i rullemenuen. Data udfyldes ikke automatisk i de skjulte tekstbokse.
Man kan forvente en løsning fra Google Chrome-teamet, da den enkle, men effektive phishing-metode blev bragt til rampelyset. Indtil da skal du slukke for automatisk udfyldning i din webbrowser eller i det mindste ikke bruge automatisk udfyldning på websteder, som du ikke helt har tillid til.
Sluk for automatisk udfyldning i Chrome
I Chrome skal du åbne Indstillinger, klikke på Vis avancerede indstillinger.
Fjern markeringen i "Aktivér autofyld for at udfylde webformularer med et enkelt klik" under "Adgangskoder og formularer."
Sluk for automatisk udfyldning i Opera
I Opera er autofyldindstillingen tilgængelig under Indstillinger> Privatliv & sikkerhed> "Autofyld". Fjern markeringen i "Aktivér automatisk udfyldning af formularer på websider."
via Lifehacker.
Opdatering: Fandt lige, at Yoast har skrevet om denne sårbarhed tilbage i 2013. Tjek hvorfor du ikke bør bruge autofuldførelse • Yoast